Sitemap
All pages on the site.
Accueil
Notes sur le journal d'événements
- Event ID 4663 expliqué : audit d'accès aux fichiers et au registre via SACL
- Event ID 4672 expliqué : détecter les connexions privilégiées sous Windows
- Event ID 4688 expliqué : audit de création de processus Windows pour le DFIR
- Event ID 4720 expliqué : détecter la création de compte malveillant dans AD
- Event ID 4768 expliqué : demandes de TGT Kerberos et AS-REP roasting
- Event ID 4769 expliqué : tickets service Kerberos et kerberoasting
- Event ID 7036 expliqué : changements d'état de service pour le triage DFIR
- Comment ouvrir un fichier .evtx (5 méthodes, sans installation requise)
- Qu'est-ce qu'un fichier .evtx ? Le format Windows Event Log expliqué
- Comment collecter les logs .evtx d'un système Windows actif (4 méthodes)
- Event ID 4625 expliqué : détecter brute force, sprays et énumération
- Event ID 1102 expliqué : journal d'audit Security effacé (et ce qui survit)
- Format de fichier EVTX expliqué : chunks, templates et internals BinXML
- PowerShell Event ID 4104 expliqué : scriptblock logging pour le DFIR
- Event ID 7045 expliqué : installation de service comme signal de persistance
- Sysmon Event ID 1 expliqué : création de processus pour le triage DFIR
- Event ID Windows 4624 : décoder chaque connexion réussie
- Lire le format binaire du journal d'événements Windows